Hallo, ich finde diese Diskussion interessant und wichtig.
Es geht darum, inwieweit wir unserer Hardware trauen können - und zwar am Beispiel eines wichtigen und sehr komplexen Bauteils. Bei der Software ist "eigentlich" - zumindest theoretisch - alles ganz einfach. Es gibt Freie Software, die einem Codereview unterzogen werden kann. Inweit weit der Einzelnen in der Lage ist, ein solches durchzuführen, und inwieweit der Quellcode tatsächlich von hierzu fähigen tatsächlich kontrolliert wird, steht auf einem anderen Blatt. Und es gibt "reproducible builds". Damit kann man prüfen, ob ein Binary tatsächlich aus dem angegebenen Quellcode gebaut wurde. Das gibt dem Einzelnen tatsächlich weitgehende Kontrollmöglichkeiten. Jeder mag sich fragen, wie oft er sie bei sicherheitskritischer Software bisher tatsächlich genutzt hat. Hierzu noch eine Anmerkung: LibreOffice steht, weil es ein "Codeungetüm" ist, beim entsprechenden Debian-Projekt auf einer Blacklist, weil man nicht die Ressourcen hat, LibreOffice immer wieder nachzubauen. Es ist natürlich erstrebenswert, dass sich dieser Zustand ändert. Aber theoretisch ist insoweit "alles in Butter". bei Hardware scheint mir die Lage insoweit etwas anders. selbst wenn alle Konstruktionsunterlagen für eine CPU freigeben würden. Wieviele Menschen wäre in der Lage, diese "sinnerfassend" zu lesen? Und dann müsste geprüft werden, ob der Chip tatsächlich ausschließlich auf der Grundlage dieser Konstruktionspläne hergestellt worden ist. Wer wäre hierzu angesichts des damit verbundenen Aufwands in der Lage? Intel hat die umstrittene Funktion seines Chips offengelegt. Natürlich dürfte wohl niemand von uns in der Lage sein, zu prüfen, ob dies tatsächlich vollständig geschehen ist oder gar plausibel nachzuweisen, dass keine Backdoor verhanden ist. Aber was ist mit all den anderen CPUs und Chips? Auch dort könnte doch ein "zusätzlicher Computer" vorhanden sein, ohne das dies offengelegt wurde. Hinzukommt noch, dass Chips in der Regel in Ländern hergestellt werden, deren Regierung man ein gewisses Interesse an solchen Funktionen nachsagen kann. Und was ist mit all den anderen Geräten? Ich bin in meinem Büro aus nachvollziehbaren Gründen bemüht, nur Freie Software einzusetzen. aber die Betriebsysteme beispielsweise meiner Drucker sind nicht frei. Wer sagt mir, dass dort nicht "Spionagesoft- und -hardware" verbaut wurde? Oder in meinen Bildschirmen? Oder, oder, oder? Selbst, wenn ich den Netzwerktraffic sorgfältig überwachen würde, was vom Aufwand her wohl unrealistisch ist, gibt es immer noch die Möglichkeit von Funkchips. Soll ich meine Hardware in faradayschen Käfigen betreiben? Früher sagte man, die beste Firewall seien fünf Zentimeter Luft. Heute würde ich auch dieser "Firewall", die übrigens leider auch sehr unpraktisch ist und daher wohl nur in Ausnahmefällen zum Einsatz kommen kann, nicht mehr vertrauen. Ich stimme sowohl Marcus als auch Rince zu. Und das ist das Dilemma. Wir arbeiten mit Technik, die wir als Einzelne gar nicht und als Gemeinschaft nur sehr schwer vollständig kontrollieren können. Natürlich entbindet uns dies nicht von der moralischen Pflicht, dies so gut es uns möglich ist zu versuchen und beispielsweise Freie Software aus vertrauenswürdigen Quellen einzusetzen. Und uns für Freie und damit kontrollier_bare_ Hardware einzusetzen. Dies ist trotz der Länge nur ein Essay, um die Dimension des Problems anzureißen. Gruß Michael
signature.asc
Description: OpenPGP digital signature
_______________________________________________ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de